Configuración de webhooks
Los webhooks se configuran a nivel de API key. Al crearla (o rotarla), el administrador del tenant define:
webhookUrl— URL HTTPS pública donde LX CloudPos hará elPOST.webhookSecret— secreto compartido para HMAC-SHA256. Se muestra una sola vez al crear o rotar la key; guardalo en tu gestor de secretos antes de cerrar la pantalla.
Requisitos del webhookUrl
✅ Permitido:
- HTTPS solamente (
http://se rechaza). - Dominios públicos (
tu-app.com,api.tu-empresa.cr). - Cualquier path (
/webhooks/lxs,/api/notifications/lxs-cloudpos).
❌ Bloqueado (protección SSRF):
localhosty127.0.0.0/8.0.0.0.0.- Rangos RFC1918 (
10.0.0.0/8,172.16.0.0/12,192.168.0.0/16). - Link-local (
169.254.0.0/16— incluye el endpoint de metadatos cloud). - CGNAT (
100.64.0.0/10). - IPv6 loopback, link-local y site-local.
Para probar contra localhost durante desarrollo, usá un túnel público; ver testing local de webhooks.